Il processo di evoluzione delle regole europee sui cookie è lungo e complesso: un tentativo di conciliare innovazione tecnologica e diritti fondamentali.
Tutto inizia nel 2002: la direttiva ePrivacy introduce per la prima volta l’obbligo di ottenere il consenso degli utenti prima di memorizzare dati sui loro dispositivi. Ai tempi i browser non disponevano ancora di strumenti efficaci per la gestione delle preferenze di privacy, e il legislatore europeo cercava di porre limiti alle pratiche di tracciamento più invasive.
Con la revisione del 2009, quel consenso è diventato esplicito: non bastava più un assenso implicito, ma serviva un’azione chiara dell’utente. Da allora sono nati i banner dei cookie, divenuti parte integrante — e spesso fastidiosa — dell’esperienza online.
L’arrivo del Regolamento generale sulla protezione dei dati (Gdpr) nel 2018 ha ulteriormente complicato lo scenario, affiancando alla direttiva ePrivacy un impianto normativo più ampio e organico. Tuttavia, la coesistenza dei due testi ha generato interpretazioni discordanti, chiarite solo in parte dalla giurisprudenza, come nella sentenza Planet49 del 2019, che ha ribadito la necessità di un consenso libero, informato e inequivocabile. I tentativi di sostituire la direttiva con un regolamento ePrivacy sono poi naufragati nel 2025, lasciando in vigore un sistema giuridico efficace ma ormai datato, adattato più dalla prassi che dal legislatore.
Il progetto Digital Omnibus: semplificare senza indebolire
In questo contesto si inserisce l’iniziativa Digital Omnibus, lanciata dalla Commissione europea nel settembre 2025 per raccogliere osservazioni e suggerimenti su un grande intervento di semplificazione normativa. L’obiettivo è ridurre la complessità delle regole che governano i tre pilastri della trasformazione digitale — dati, cybersicurezza e intelligenza artificiale — garantendo al contempo la tutela dei diritti fondamentali.
La Commissaria europea Henna Virkkunen, responsabile per sovranità tecnologica, sicurezza e democrazia, ha chiarito che la semplificazione non sarà sinonimo di deregulation. L’intento è “alleggerire il carico burocratico senza intaccare gli standard di sicurezza, equità e protezione dei diritti digitali” che rappresentano il tratto distintivo del modello europeo.
L’iniziativa, parte integrante del programma per la riduzione degli oneri normativi del 25% per le imprese e del 35% per le Pmi, mira a rendere più coerente il mosaico di regolamenti esistenti: dal Gdpr al Data Act, dal Cybersecurity Act all’AI Act.
Il rischio, tuttavia, è di spingersi troppo oltre nella semplificazione, con il pericolo di indebolire controlli e garanzie che oggi sono cruciali in un ambiente digitale segnato da attacchi sempre più sofisticati e da una crescente dipendenza da infrastrutture critiche.
Cookie e tracciamento: il simbolo della complessità normativa
Pur non essendo citato direttamente nel documento di consultazione, il tema dei cookie resta emblematico. Negli anni è diventato il simbolo della frammentazione regolatoria europea: troppe regole, troppe varianti nazionali e troppi clic richiesti agli utenti. L’intento di rafforzare la consapevolezza del cittadino si è trasformato spesso in un rituale di accettazione automatica, svuotando di senso il principio stesso del consenso. Per le imprese, soprattutto le più piccole, la moltiplicazione di adempimenti e differenze tra Paesi ha comportato costi elevati e un notevole dispendio amministrativo.
Il Digital Omnibus potrebbe offrire un’occasione per ripensare la gestione del consenso a livello di browser o di sistema operativo, riducendo la necessità di banner invasivi. Ma la sfida resta delicata: semplificare le procedure senza sacrificare la sostanza della protezione dei dati.
In fondo, il dibattito sui cookie fotografa il dilemma più profondo dell’Europa digitale: come mantenere fede al proprio modello di diritti e trasparenza senza restare indietro rispetto a mercati più snelli e competitivi.